思科警告说，DNA中心管理软件也存在严重缺陷

Cisco已注意到并修复了其SD-WAN软件组合中的两个关键和多个高度漏洞。

大多数漏洞都可能使经过身份验证的攻击者对受影响的设备执行命令注入攻击，从而使攻击者利用设备上的根权限。

第一个关键问题是Cisco SD-WAN vManage软件基于web的管理界面中的漏洞，该系统的常见漏洞评分系统评分为9.9分（满分10分）

Cisco称：“此漏洞是由于对用户提供的设备模板配置输入进行不正确的输入验证造成的。”。“攻击者可以通过向设备模板配置提交精心编制的输入来攻击此漏洞。成功利用此漏洞可使攻击者获得对受影响系统的根级别访问权限。”

该公司表示，该漏洞仅影响Cisco SD-WAN vManage产品。

第二个严重的Cisco SD-WAN软件问题—CVSS等级为9.8—可能会让未经验证的远程攻击者造成缓冲区溢出。

思科称：“该漏洞是由于对IP流量的不正确处理造成的。“攻击者可以通过通过受影响的设备发送精心编制的IP通信来攻击此漏洞，这可能会在处理通信时导致缓冲区溢出。成功利用此漏洞可使攻击者以root权限在底层操作系统上执行任意代码。”

• 企业架构师指南：自动化和加速数据管道的4大策略

企业架构师指南：自动化和加速数据管道的4大策略

• 我们所学到的：IT和业务领导人如何共同建立工作的未来

我们所学到的：IT和业务领导人如何共同建立工作的未来

• 保险业的数字化颠覆：五大巨头的启示

保险业的数字化颠覆：五大巨头的启示

Cisco发布了解决这两个关键漏洞的软件更新。Cisco SD-WAN软件的命令行界面中的其他漏洞等级较高，包括：

未来的工作是混合的

找出为什么实现未来工作的混合不仅仅是视频会议

• Cisco SD-WAN软件的CLI中存在一个漏洞，该漏洞允许具有只读凭据的经过身份验证的本地攻击者注入任意命令，从而使攻击者获得根权限，并读取、写入和删除受影响设备的底层文件系统的文件。Cisco指出，此漏洞是由于对CLI上用户提供的输入验证不足造成的。Cisco称，攻击者可以通过受影响设备的CLI以只读权限进行身份验证，并向受影响命令提交精心编制的输入，从而利用此漏洞进行攻击。

• Cisco SD-WAN软件CLI中的一个弱点可能会让具有只读凭据的经过身份验证的本地攻击者注入任意命令，从而使攻击者获得根权限并读取、写入和删除受影响设备的底层文件系统的文件。“此漏洞是由于对CLI上用户提供的输入验证不足造成的。攻击者可以通过受影响设备的CLI以只读权限进行身份验证，并向受影响命令提交精心编制的输入，从而利用此漏洞进行攻击。成功利用此漏洞可使攻击者以root权限在设备上执行任意命令。

• CLI的另一个弱点是，通过身份验证的本地攻击者可以使用只读凭据插入任意命令，从而使攻击者获得根权限并从受影响设备的底层文件系统读取文件。此漏洞是由于对SD-WAN CLI上用户提供的输入验证不足造成的。Cisco称，攻击者可以通过受影响设备的CLI以只读权限进行身份验证，并向受影响命令提交精心编制的输入，从而利用此漏洞进行攻击。

在同一套安全建议中，思科为其DNA中心软件发布了一个关键补丁。具体而言，该公司表示，Cisco DNA Center的Command Runner工具存在一个弱点，即CVSS评级为9.6，可能会让经过身份验证的远程攻击者执行命令注入攻击。攻击者可以通过在命令执行期间提供精心编制的输入或通过精心编制的命令运行器API调用来攻击此漏洞。成功利用此漏洞可使攻击者在Cisco DNA Center管理的设备上执行任意CLI命令。Cisco称，此漏洞影响Cisco DNA Center早于1.3.1.0的软件版本。

其他与DNA中心相关的安全咨询包括：

• Cisco DNA Center的配置存档功能中存在一个漏洞，允许任何经过身份验证的特权级别远程攻击者获得受管设备的完整无掩码运行配置。此漏洞影响Cisco DNA Center 2.1.2.0之前的软件版本。

• DNA中心软件基于web的管理界面中的一种暴露，可让未经验证的远程攻击者进行跨站点请求伪造（CSRF）攻击，以操纵经过验证的用户在未经其意识或同意的情况下执行恶意操作。

思科已经发布了针对其概述的所有漏洞的软件修复程序。有关更多信息，思科在这里向用户介绍了它的许可证页面。